Los operadores de ransomware ahora pueden robar sus datos antes de cifrarlos

Zeppelin Ransomware Steals Data Before Encryption

Ransomware ha demostrado una y otra vez ser una de las armas más poderosas en el arsenal de los cibercriminales. Inicialmente, los piratas informáticos tendrían que crear su propia familia de malware de cifrado de archivos, que no es exactamente un paseo por el parque, pero en este momento, alquilar o descargar cepas gratuitas es fácil. La mayoría de los usuarios aún no son plenamente conscientes de los peligros que acechan en cada rincón de Internet, lo que significa que las tasas de infección suelen ser bastante buenas, y la misma falta de conciencia significa que muchos no mantienen copias de seguridad periódicas de sus archivos que, a su vez, tiene un efecto positivo en el saldo de las billeteras de criptomonedas de los ladrones.

Es un modelo comercial probado que ha funcionado para muchos. Sin embargo, esto no significa que la amenaza no esté evolucionando. Lejos de eso, de hecho.

En el pasado, el ransomware se usaba principalmente en campañas de rociar y orar dirigidas principalmente a usuarios domésticos. Sin embargo, en los últimos meses, los ciberdelincuentes se han dado cuenta de que los beneficios de golpear a las grandes organizaciones podrían ser mayores, y el enfoque ha cambiado un poco. Los expertos en ciberseguridad han descubierto otra tendencia más preocupante.

El ransomware Zeppelin roba los datos de las organizaciones antes de encriptarlos

A principios de diciembre, los investigadores de Morphisec presenciaron un ataque contra un cliente suyo que trabajaba en el sector inmobiliario. Después de una investigación más cercana, se dieron cuenta de que los piratas informáticos estaban tratando de infectar a la compañía con el ransomware Zeppelin, la última versión de la familia de ransomware VegaLocker como servicio. Los atacantes estaban explotando una aplicación de escritorio remota con el nombre de ConnectWise Control (fka ScreenConnect), y en general, no había nada demasiado inusual en la cadena de infección.

Sin embargo, los investigadores notaron que una vez que se encontraba en uno de los servidores de base de datos de Windows de la víctima, el ransomware intentó crear una copia de los datos y luego enviarla al servidor de Control y Control (C&C) de los delincuentes. Después de eso, trató de propagarse más abajo en la red y finalmente implementó el módulo de cifrado de archivos.

En otras palabras, el ransomware Zeppelin trató de robar los datos de la compañía antes de bloquearlos y retenerlos como rescate. Según Catalin Cimpanu de ZDNet, esta está lejos de ser la única variedad de ransomware que emplea tales tácticas. Dijo que los atacantes que usan las muestras de ransomware Maze, REvil y Snatch también se han involucrado en actividades similares. Pero, ¿por qué han decidido de repente que es una buena idea?

Un mecanismo de restauración más confiable

Si lo piensas, para los hackers, robar los archivos antes de encriptarlos y exigir un rescate tiene mucho sentido. De hecho, corren el riesgo de levantar sospechas al tratar de extraer muchos datos, pero la probabilidad de que los atrapen generalmente no es tan alta. Y cuando eche un vistazo a las ventajas que aporta el paso adicional, incluso comenzará a preguntarse por qué no lo pensaron antes.

En un ataque regular de ransomware, cuando la víctima decide pagar el rescate, envían bitcoins a la billetera de los ladrones y, a cambio, esperan un programa que descifre los archivos bloqueados. En algunos casos, los delincuentes simplemente toman el dinero y corren, pero hay muchos operadores de ransomware que tienen la intención genuina de devolverles a sus víctimas sus datos una vez que hayan recibido el pago. Sin embargo, necesitan escribir sus propios descifradores, y desafortunadamente, a veces cometen errores.

Hemos escuchado muchas historias de personas que han perdido datos a pesar de pagar el rescate debido a una herramienta de descifrado defectuosa. Los usuarios son los que pierden dinero y datos, pero el impacto también es negativo para los delincuentes, que no terminan pareciendo muy confiables y, por lo tanto, es menos probable que las futuras víctimas les paguen.

Sin embargo, si los piratas informáticos tienen una copia de los datos no cifrados, simplemente pueden enviárselos a las víctimas después del pago y asegurarse de que las cosas vuelvan a la normalidad de manera relativamente sencilla.

Eso sí, si la víctima tiene una copia de seguridad, todo esto no tendría sentido. A menos, por supuesto, que los piratas informáticos amenacen con filtrar los datos si no se paga el rescate.

Más apalancamiento de chantaje

Como ya mencionamos, a menudo, los objetivos son organizaciones grandes. Los piratas informáticos no pueden robarles fotos navideñas o selfies embarazosos, pero pueden extraer secretos comerciales y otra información extremadamente valiosa. Y cuando la compañía atacada dice que no pagará porque tiene copias de seguridad, los delincuentes pueden amenazarla fácilmente con filtrar todos los datos confidenciales.

Según el informe de ZDNet, los operadores de ransomware ya han utilizado las bases de datos robadas como un segundo punto de extorsión, y los delincuentes que ejecutan el ransomware Maze incluso han creado un sitio web en el que enumeran todas las empresas que se negaron a pagar el rescate y posteriormente expusieron sus datos. el grupo.

Hay que decir que no todas las tripulaciones de piratería son capaces de realizar un ataque tan destructivo. Si quieren robar y cifrar información de muchos usuarios o compañías diferentes, necesitarán una gran infraestructura de C&C que podría ser costosa de configurar y mantener. Sin embargo, aquellos que logran la configuración correcta tendrán una ventaja definitiva.

December 19, 2019

Deja una respuesta